Weiter zum Inhalt

NIS 2-Richtlinie – Die wichtigsten Änderungen, die Ihr Unternehmen betreffen könnten!

Die NIS 2-Richtlinie (Network & Information Security) zielt darauf ab, den Schutz sektorspezifischer Infrastrukturen (IT) und betriebskritischer Technologien (OT) in Europa zu verbessern und die EU insgesamt widerstandsfähiger gegen Cyberangriffe zu machen.

Österreich hat bis zum 17. Oktober 2024 Zeit, um die NIS 2-Richtlinie durch eine Novelle des Netz- und Informationssystem-sicherheitsgesetzes (NISG) umzusetzen. Die wichtigsten Änderungen:

  • Erweiterter Anwendungsbereich: Weitere Sektoren, einschließlich des Verkehrssektors und digitaler Plattformen wie Online-Marktplätze und Cloud-Infrastruktur werden NIS 2 relevant.
  • Höhere Sicherheitsanforderungen an die Unternehmen: Cyberresilienz und Schutz gegen Cyberangriffe werden verbessert.
  • Schärfere und vereinheitlichte Sanktionen: Nationale Behörden erhalten eine zentrale Rolle bei der Überwachung und Durchsetzung.

Devoteam Austria ist eine beim Bundesministerium für Inneres qualifizierte Stelle (QuaSte) und kann für Ihr Unternehmen schon heute Audits im Sinne des NISG als Prüfer durchführen.

Zum Whitepaper „NISG-Entwurf 2024“!

Holen Sie sich das Whitepaper unserer Experten zum aktuellen NIS2-Gesetzesentwurf!

Martin Esslinger

Martin ESSLINGER

Partner & Mitglied der Geschäftsleitung

Mario Kogler

Mario KOGLER

Partner & Mitglied der Geschäftsleitung

Wer ist von NIS 2 betroffen?

Zu den entscheidenden Änderungen zählt einerseits die erhebliche Ausweitung des Kreises verpflichteter Unternehmen und andererseits der Wechsel von „Betreibern wesentlicher Dienste“ und „Anbietern digitaler Dienste“ zu „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Wobei für beide Einrichtungen unterschiedliche Regelungen gelten.
Somit betrifft die Richtlinie neben den bekannten „wesentlichen“ Sektoren wie Einrichtungen der öffentlichen Verwaltung, Energie, Verkehr, Bank- und Finanzwesen, Gesundheitswesen, Wasserversorgung auch „wichtige“ Anbieter digitaler Infrastrukturen, von Online-Marktplätzen über Social Media Plattformen bis zu Hersteller bestimmter systemkritischer Güter wie Medizintechnik, Lebensmittel oder Chemie.

NIS 2 bringt eine erhebliche Ausweitung des Kreises verpflichteter Unternehmen. Klären wir Ihre individuelle Situation!

Cyber Trust Devoteam prüft als QuaSte die NIS-Konformität Ihres Unternehmens!“ Wir begleiten Sie unabhängig und technologgieneutral.

In den Anwendungsbereich fallen künftig alle mittleren und großen Unternehmen in den als wesentlich bzw. wichtig identifizierten Sektoren. Klein- und Kleinstunternehmen fallen grundsätzlich nicht in den Anwendungsbereich – mit Ausnahme von besonders sicherheits­kritischen Diensten wie dem Anbieten öffentlicher elektronischer Kommunikationsnetze oder dem Anbieten von Vertrauensdiensten, welche unabhängig von ihrer Größe dem Anwendungsbereich der Richtlinie unterliegen.

Auch die aktuelle Fassung des NISG verpflichtet Betreiber wesentlicher Dienste zur Umsetzung umfangreicher Sicherheitsmaßnahmen und zum Nachweis ihrer Wirksamkeit durch qualifizierte Stellen. Devoteam Austria ist als „Qualifizierte Stelle“ (QuaSte) des Bundesministerium f. Inneres akkreditiert und führt Audits zur NIS-Konformität durch.

Leistungen Devoteam Devoteam Austria begleitet Sie bei der Umsetzung Ihrer NIS-Anforderungen!

Als qualifizierte Stelle zur Prüfung und Bestätigung der NIS-Konformität bietet Devoteam Austria ein vollumfängliches Spektrum an Leistungen zur Cybersecurity an.

Planung und Konzeption

Beginnend mit Ihrem bestehenden oder zu konzipierenden Informationssicherheits-managementsystems (ISMS) helfen wir Ihnen, die Anforderungen der NIS-Verordnung zu erfüllen. Wir führen Gap- und Betroffenheitsanalysen durch, um die Auswirkungen eines Sicherheitsvorfalls auf Ihr Unternehmen zu bewerten. Unsere Experten und Expertinnen erschließen mit Ihnen Synergieeffekte zwischen den Anforderungen der NIS-Richtlinie und anderen geltender Normen bzw. Standards, um Cybersecurity wirtschaftlich zu implementieren.

Prüfung und Nachweiserbringung

Devoteam Austria führt als Quaste NIS-Audits bei Ihnen durch und stellt sicher, dass Ihr ISMS den Anforderungen der Verordnung entspricht. Wir begleiten Sie zuverlässig bei der Nachweiserbringung Ihrer NIS-Konformität gegenüber Behörden und anderen Stakeholdern.

Betrieb und kontinuierliche Verbesserung

Im laufenden Betrieb unterstützen wir Sie bei der kontinuierlichen Verbesserung Ihres ISMS und helfen Ihnen, Schwachstellen zu beheben. Die Erweiterung Ihres bestehenden ISMS um den NIS-Scope verstehen wir als Querschnittsmaterie. Daher sind bestehende ISMS-Dokumente an kommende Anforderungen der NIS 2-Richtlinie anpassen.

Sicherheit der Prüfdaten

Devoteam Austria verfügt über ein erfahrenes Team von Prüfern und Prüferinnen mit mehrjähriger Berufserfahrung für die Auditierung relevanter Sicherheitseinrichtungen gemäß NISG (sowohl technisch als auch organisatorisch). Als Teil der Devoteam Gruppe bringen unsere zertifizierten Berater:innen internationalen Wissenstransfer in die Projektarbeit ein. Darüber hinaus ist Devoteam Austria als Unternehmen nach ISO 27001:2022 zertifiziert.

Sie wollen sich auf die erhöhten Anforderungen von NIS 2 treffsicher vorbereiten? Jetzt Whitepaper herunterladen!

Whitepaper „NISG 2024“

NIS 2-Maßnahmen Welche Maßnahmen müssen Unternehmen und Organisationen treffen?

Unternehmen und Organisationen, die von der NIS 2-Richtlinie betroffen sind, müssen verschiedene Maßnahmen ergreifen, um die Sicherheit und Resilienz ihrer IT- und OT-Systeme zu erhöhen und die Anforderungen der Richtlinie zu erfüllen. Die neuen Anforderungen umfassen präventive und reaktive Maßnahmen. Zu den präventiven Maßnahmen gehören:

Risikomanagement-maßnahmen:

Unternehmen müssen ein Risikomanagementsystem implementieren, das die Risiken für ihre Informationssysteme identifiziert und bewertet.

Sicherheitsmaßnahmen

Unternehmen müssen Pläne für die Bewältigung von Sicherheitsvorfällen haben.

Aufrechterhaltung des Betriebs

Unternehmen müssen Maßnahmen für die Aufrechterhaltung des Betriebs ihrer Informationssysteme haben, z. B. durch regelmäßige Backups und Wiederherstellungskonzepte.

Zugangskontrollen

Unternehmen müssen Zugangskontrollen für ihre Informationssysteme implementieren, z. B. durch Multi-Faktor-Authentifizierung.

Sichere Kommunikation

Unternehmen müssen sichere Kommunikationswege für ihre Informationssysteme implementieren.

Zu den reaktiven Verpflichtungen zählen insbesondere die Meldepflichten der Richtlinie:

  • Meldepflichten: Signifikante Vorfälle und signifikante Bedrohungen sind den Behörden zu melden, wobei genaue Vorgaben für Ablauf, Inhalt und Zeitrahmen solcher Meldungen gelten.
  • Frühwarnung: Konkret muss unverzüglich, jedenfalls aber innerhalb von 24 Stunden nach Kenntnisnahme, eine sogenannte Frühwarnung abgegeben werden.
  • Meldung Sicherheitsvorfall: In weiterer Folge hat binnen 72 Stunden eine Meldung des Sicherheitsvorfalls zu erfolgen.
  • Abschlussbericht: Spätestens ein Monat nach Übermittlung dieser Meldung ist ein Abschlussbericht zu erstellen.

Von der Richtlinie erfasste Unternehmen haben eine Liste an grundlegenden Maßnahmen zur sog. Cyberhygiene – auch betreffend ihre Lieferketten – einzuführen, z.B.:

  • Zero-Trust-Grundsätze
  • Software-Updates
  • Gerätekonfiguration
  • Netzwerksegmentierung
  • Identitäts- und Zugriffsmanagement
  • Sensibilisierung der Nutzer:innen
  • Organisation von Schulungen für Mitarbeiter:innen
  • Schärfung des Bewusstseins für Cyberbedrohungen, Phishing oder Social-Engineering-Techniken
Devoteam

Welche Sanktionen und Haftungen drohen Unternehmen bei Verstößen gegen NIS 2?

  • Der Bußgeldrahmen wird für wesentliche Einrichtungen mit einem Höchstbetrag von mindestens 10 Mio. EUR oder 2 % des weltweiten Umsatzes begrenzt.
  • Für wichtige Einrichtungen liegt der Höchstbetrag bei zumindest 7 Mio. EUR oder bei 1,4 % des weltweiten Umsatzes.
  • Leitungsorgane wesentlicher und wichtiger Einrichtungen sind verpflichtet, die Umsetzung der Risikomanagementmaßnahmen zu überwachen und können für Verstöße dagegen verantwortlich gemacht werden.
  • Die zuständigen Behörden in den EU-Mitgliedstaaten können Vor-Ort-Kontrollen, regelmäßige Sicherheitsprüfungen und anlassbezogene – bei wesentlichen Unternehmen auch ohne Anlass – ad-hoc-Prüfungen durchführen.

Fragen Sie uns nach bis zu 10.000 Euro staatlicher Förderung:  +43 (0) 1 71 50 000

Devoteam Austria

Wir beraten Sie produkt- und herstellerunabhängig. Verlassen Sie sich auf unsere objektive Sichtweise als exzellente Technologieberater:innen.

In Österreich setzen wir auf hochqualifizierte, unabhängige Technologieberatung. Unsere Expertise beginnt mit Ihren Anforderungen und reicht bis zum technologisch fundierten Design. Sollten Sie an einer anschließenden Systemimplementierung interessiert sein, stehen Ihnen unsere europäischen Centers of Excellence (CoE) mit zertifizierten Integrationsexperten und -expertinnen zur Verfügung. Dabei sind wir auf die führenden Cloud-Plattformen spezialisiert, die wir auch als Managed Service weltweit betreiben.

Sehen Sie sich an wer wir sind!